本文介紹如何通過Action Trail(ActionTrail)產品查看Flink審計事件。
背景資訊
Action Trail(ActionTrail)可以協助您監控並記錄阿里雲帳號的活動,包括通過阿里雲控制台、OpenAPI、開發人員工具對雲上產品和服務的訪問和使用行為。您可以將這些行為事件下載或儲存到Log ServiceSLS或Object Storage Service,然後進行行為分析、安全分析、資源變更行為追蹤和行為合規性審計等操作。ActionTrail的詳細資料,請參見什麼是Action Trail。
阿里雲Flink全託管已經對接阿里雲Action Trail(ActionTrail),無需付費,您就可以在ActionTrail中擷取資源的操作事件和相關資訊的情境。
使用限制
只有單帳號跟蹤的事件可以通過Action Trail控制台查詢,且每秒最多可以查詢兩次。多帳號跟蹤的事件不能通過Action Trail控制台查詢,只能在對應的SLS Logstore或OSS儲存空間中查詢。具體操作,請參見查詢多帳號跟蹤的事件。
Action Trail事件查詢功能只能查詢當前地區最近90天的事件。
雲上操作後10分鐘才可以通過Action Trail控制台查詢相關事件。
操作步驟
在左側導覽列,單擊。
在頂部導覽列選擇您想查詢事件的地區。
在事件查询頁面輸入搜尋條件,設定查詢的時間範圍,然後單擊
表徵圖。說明您可以設定讀寫類型、操作者名稱、雲端服務名稱、事件名稱、關聯資源類型、關聯資源名稱、AccessKey ID、是否敏感操作和事件 ID單個搜尋條件來過濾查詢事件。
您只能在新加坡地區查詢全域事件。
找到待查詢的事件,單擊對應事件操作列下的查看事件詳情。
使用者刪除部署作業的事件記錄樣本如下。
{ "eventId": "48deee2f-a38b-440b-aae4-168640afd6b8", "eventVersion": 1, "responseElements": {}, "errorMessage": "", "eventSource": "RealtimeCompute", "requestParameters": {}, "sourceIpAddress": "140.**.**.19", "userAgent": "RealtimeCompute", "eventRW": "Write", "eventType": "ApiCall", "referencedResources": { "ACS::RealtimeCompute::Deployment": [ "47eb63e1-79b8-4192-9cd2-059ec5d7****", "guiyuan-kafka-writer" ] }, "userIdentity": { "accessKeyId": "null", "sessionContext": { "attributes": { "mfaAuthenticated": "true", "userDisplayName": "25265763711933****", "user": "25265763711933****" } }, "accountId": "1016954307248737", "principalId": "25265763711933****", "type": "ram-user", "userName": "25265763711933****" }, "serviceName": "RealtimeCompute", "additionalEventData": { "namespace": "NamespaceRef(name=Optional[daily-instance-not-delete-default])" }, "requestId": "202306021408-LFMZBC059T", "eventTime": "2023-06-02T06:08:21Z", "isGlobal": false, "acsRegion": "cn-beijing", "eventName": "DeleteDeployment" }
Realtime ComputeFlink版事件列表
Realtime ComputeFlink版支援在Action Trail中查詢的事件請參見Realtime ComputeFlink版的審計事件。